Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
474
Часть IV. Аутентификация
Каждый единичный бит в показателе возводится в квадрат и умножается, а каждый нулевой бит — только возводится в квадрат. Целью атаки является измерение временной разницы между этими двумя вариантами. В случае успеха Злоумышленник сможет определить биты показателя один за другим.
Недавно Кэнвел с соавторами [68] разработал атаку с помощью обходного канала (на основе временного анализа) на линии связи между сервером и клиентом, защищенные протоколом TLS/SSL. Как правило, целью такой атаки является пароль пользователя для доступа к серверу электронной почты IMAP. В ходе атаки атакованный пароль пересылается с клиентской машины на сервер электронной почты, в то время как линия связи между клиентом и сервером защищена протоколом TLS. Сообщения, передаваемые по защищенной линии связи, шифруются с помощью стойкого сеансового ключа в соответствии с протоколом TLS (см. протокол 12.2). Шифрование сеанса связи осуществляется с помощью стойкого блочного шифра (например, тройного алгоритма DES) в режиме СВС (см. раздел 7.8.2).
Атака на основе временного анализа использует атаку с помощью взрываю-1 щегося оракула, изобретенную Воденэ для взлома стандартной схемы СВС с заполнением (CDC padding scheme) [294], описанной в разделе 7.8.2.1. Вкратце эта атака выглядит следующим образом. Допустим, что С — это блок зашифрованного текста в режиме СВС, шифрующий пароль и перехваченный Злоумышленником. В ходе атаки Воденэ на стандартную схему СВС с заполнением Злоумышленник посылает оракулу расшифровки следующую информацию:
г, С,
где г — блок(и) случайных чисел. Затем Злоумышленник ждет от оракула расшифровки ответа, правильно или неправильно выполнено заполнение. Если оракул отвечает, что заполнение было выполнено правильно, последний байт исходного текста, зашифрованного с помощью блока С, оказывается раскрытым (если блок С используется для шифрования паролей, Злоумышленнику станет известен последний символ пароля). Теперь мы можем описать атаку на основе временного анализа, позволяющую взломать линию связи, защищенную паролем TLS.
В ходе этой атаки Злоумышленник посылает серверу электронной почты информацию г, S, заявляя, что он является владельцем атакуемого пароля, зашифрованного с помощью шифра С. Получив сообщение г, S, сервер выполняет расшифровку в режиме СВС и проверяет правильность заполнения. Если заполнение было выполнено правильно (вероятность этого события равна 2-8 (см. раздел 7.8.2.1)), он проверяет целостность данных, заново вычисляя код аутентификации сообщений (см. раздел 10.3.3). Если заполнение было выполнено неправильно, проверку целостности данных выполнять необязательно. В любом случае ошибка зашифровывается с помощью стойкого сеансового ключа TLS и возвращается на клиентскую машину.
Глава 12. Протоколы аутентификации — реальный мир
475
На первый взгляд, Злоумышленник, не знающий стойкого сеансового ключа, не имеет доступа к услугам оракула, т.е. сервер электронной почты, зашифровавший и передавший ошибку, не является оракулом расшифровки.
Однако, если число г является случайным, а схема заполнения в режиме СВС — правильной, то в подавляющем числе случаев целостность данных будет нарушена Следовательно, атакованный сервер электронной почты на самом деле имеет только две возможности:
1) отослать обратно сообщение {"неправильное заполнение"}а- с вероятностью rjI - 2~8 или
2) отослать обратно сообщение {"неправильный код MAC"}а- с вероятностью ^^2 ^.
Второй вариант означает, что заполнение было выполнено правильно, и Злоумышленник узнал последний байт исходного сообщения, зашифрованного шифром С.
Теперь наступает очередь применить временной анализ! Для достаточно большого числа т (состоящего из нескольких блоков) сервер во втором случае должен заново вычислить длинный код MAC в режиме СВС, в то время как в первом варианте такие вычисления не выполняются. Кэнвел и его соавторы [68] обнаружили, что на стандартных серверах разница во времени между получением сообщения и ответом составляет несколько миллисекунд. Следовательно, в рамках временного анализа сервер играет роль оракула расшифровки. Обратите внимание на то, что обработка ошибок в данном случае означает, что оракул расшифровки весьма надежен и никогда не "взорвется"!
Изменив число т вручную, т.е. не применяя шифр С, Злоумышленник может раскрыть пароль байт за байтом, начиная с конца. Способ изменения числа г читатели могут изобрести сами (см. подсказку к упражнению 12.12). Если шифр С шифрует пароль, состоящий из 8 байт, для раскрытия всего пароля понадобится 8 х 28 = 2048 попыток доступа к серверу электронной почты.
Эта атака весьма эффективна, хотя она успешнее работает в локальных сетях (LAN), в которых клиент и сервер находятся в одной сети, так что разность между временами получения запроса и ответом можно вычислить точнее. Кроме того, эта атака демонстрирует, что услуги оракула иногда можно получить косвенным образом, с помощью обходного канала И наконец, она свидетельствует о том, что обработка ошибок должна проводиться очень аккуратно.
